Создание VPN-подключения в Fedora

Как настроить на Fedora VPN-подключение по протоколам PPTP, IKEv2/IPsec, SSTP, L2TP/IPsec.

Инструкция актуальна для Fedora 40. Рекомендуемый протокол подключения - IKEv2/IPsec.

Перед настройкой

1. Перейдите в раздел Пользователи -> VPN-подключения -> Доступ по VPN и создайте правило разрешающее VPN-подключение.

2. Загрузите на устройство корневой сертификат Ideco NGFW. Файл сертификата должен находиться в общедоступном каталоге.

Загружать сертфикат ISRG_ROOT_X1 не требуется, так как он уже есть в Fedora 40 и находится в каталоге /etc/ssl/certs.

Настройка Ideco NGFW:

1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.

2. Установите флаг Подключение по IKEv2/IPsec и заполните поле Домен или IP-адрес:

3. Скачайте корневой сертификат Ideco NGFW в разделе Сервисы -> Сертификаты -> Загруженные сертификаты в веб-интерфейсе NGFW или в личном кабинете пользователя по кнопке Скачать корневой сертификат.

Создание подключения в Fedora:

1. Для поддержки подключения по IPsec для NetworkManager установите пакет NetworkManager-strongswan:

sudo dnf -y install NetworkManager-strongswan

2. Установите пакет для настройки IPsec-подключения через графический интерфейс:

Окружение рабочего стола GNOME:

sudo dnf -y install NetworkManager-strongswan-gnome

Окружение рабочего стола KDE:

sudo dnf -y install plasma-nm-strongswan

Создание подключения в Fedora:

1. Загрузите корневой сертификат NGFW, включая всю цепочку доверия, в каталог /etc/strongswan/ipsec.d/cacerts.

3. В появившемся окне выберите IPsec\IKEv2 (strongswan).

4. В разделе Идентификация заполните поля:

Имя - название VPN-подключения;
Address - доменное имя шлюза для VPN-подключения;
Authentication - EAP (Username/Password);
Username - логин пользователя, которому разрешено подключение по VPN;
Password - пароль пользователя.

5. Установите флаг Request an inner IP address.

6. Нажмите Применить и включите созданное VPN-подключение.

Настройка Ideco NGFW:

1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное и установите флаг Подключение по PPTP:

Создание подключения в Fedora:

2. В окне создания подключений выберите пункт Туннельный протокол типа точка-точка (PPTP).

3. В разделе Идентификация заполните поля:

Имя - название VPN-подключения;
Gateway - доменное имя или IP-адрес NGFW;
User name - логин пользователя, которому разрешено подключение по VPN;
Password - пароль пользователя.

Рекомендуем нажать Advanced и установить флаги на пунктах:

Разрешить следующие методы аутентификации - на MSCHAPv2;
Использовать шифрование MPPE - в строке Шифрование выберите 128-бит (наиболее защищенное);
Использовать для данных сжатие BSD;
Использовать для данных сжатие Deflate;
Использовать сжатие заголовков TCP.

5. Нажмите Apply, затем Применить.

6. Включите созданное VPN-подключение.

Если подключение по PPTP не устанавливается:

1. Выполните команду sestatus, чтобы узнать текущий режим SELinux. Если режим Enforcing, SELinux может блокировать работу PPTP.

2. Переведите SELinux в режим Permissive. Для этого выполните команду sudo setenforce 0. Это до перезагрузки отключит принудительный контроль доступа SELinux.

3. Попробуйте подключиться к VPN через PPTP. Если проблема была в SELinux, подключение должно заработать.

4. Если заработало, то измените файл sudo nano /etc/selinux/config и установите SELINUX=permissive или SELINUX=disabled. После этого перезагрузите систему.

Рекомендуем режим Permissive (setenforce 0) использовать только для диагностики и не оставлять SELinux в этом режиме на постоянной основе, так как это снижает уровень безопасности системы.

Настройка Ideco NGFW:

1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.

2. Установите флаг Подключение по SSTP и заполните поля Домен и Порт:

Создание подключения в Fedora:

1. Откройте терминал и установите необходимые пакеты, выполнив команду:

Окружение рабочего стола GNOME:

sudo dnf install NetworkManager-sstp.x86_64 NetworkManager-sstp-gnome.x86_64 sstp-client.x86_64

Окружение рабочего стола KDE:

sudo dnf install NetworkManager-sstp.x86_64 plasma-nm-sstp.x86_64 sstp-client.x86_64

2. По окончании установки перезагрузите компьютер:

sudo reboot

4. В появившемся окне выберите Secure Socket Tunneling Protocol (SSTP).

5. В разделе Идентификация заполните поля:

Name - название VPN-подключения;
Gateway - укажите в формате домен:<порт, выбранный на NGFW>;
Username - имя пользователя на Ideco NGFW;
Password - пароль пользователя на Ideco NGFW.

6. Нажмите Advanced:

На вкладке Connection отключите настройки:
- Use TLS hostname extentions;
- Verify certificate type and extended key usage:

На вкладке Point-to-Point рекомендуем установить флаги на пунктах:

Allow the following authentication methods - установите флаг на MSCHAPv2;
Allow BSD data compression;
Allow Deflate data compression;
Allow TCP header compression.

7. Нажмите Добавить и включите созданное VPN-подключение.

Если подключение по SSTP не устанавливается:

1. Выполните команду sestatus, чтобы узнать текущий режим SELinux. Если режим Enforcing, SELinux может блокировать работу SSTP.

3. Попробуйте подключиться к VPN через SSTP. Если проблема была в SELinux, подключение должно заработать.

L2TP/IPsec клиенты, находящиеся за одним NAT, могут испытывать проблемы подключения, если их более одного. Рекомендуем вместо L2TP/IPsec использовать IKEv2/IPsec.

Настройка Ideco NGFW:

1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.

2. Установите флаг Подключение по L2TP/IPsec и скопируйте PSK-ключ:

Создание подключения в Fedora:

1. Установите необходимые пакеты для создания L2TP VPN-соединения, выполнив команду:

Окружение рабочего стола GNOME:

sudo dnf install NetworkManager-l2tp.x86_64 NetworkManager-l2tp-gnome.x86_64 xl2tpd.x86_64

Окружение рабочего стола KDE:

sudo dnf install NetworkManager-l2tp.x86_64 plasma-nm-l2tp.x86_64 xl2tpd.x86_64

2. После окончания установки перезагрузите компьютер:

sudo reboot

5. В окне создания подключений по VPN выберите пункт Layer 2 Tunneling Protocol (L2TP).

6. На вкладке Идентификация заполните поля:

Name - название VPN-подключения;
Gateway - доменное имя или IP-адрес NGFW;
Type - Password;
User Name - логин пользователя, которому разрешено подключение по VPN;
Password - пароль пользователя.

7. Перейдите в Настройки IPsec и включите настройку Enable IPsec tunnel to L2TP host, чтобы активировалась возможность настраивать остальные параметры:

Type: Pre-shared key (PSK) - аутентификация по общему ключу;
Pre-shared key - ключ, который необходимо скопировать по пути Пользователи -> VPN-подключения -> Основное из поля PSK.

Раздел Advanced необязательный для заполнения.

После окончания настройки L2TP IPsec Options нажмите ОК.

8. При необходимости перейдите в Настройки РРР и настройте раздел Аутентификация, Шифрование и сжатие и Прочие:

После настройки Параметров РРР нажмите ОК и Применить.

9. Включите созданное VPN-подключение.